Claudeを悪用した832件のサイバー攻撃を分析 — Anthropicが公開したAI脅威レポートの中身
AIモデルを使ったサイバー攻撃がどこまで現実のものになっているのか。その問いに対して、モデル提供者自身がデータで答えを出した。
Anthropicは6月3日、自社モデルClaudeを悪用したサイバー攻撃活動の1年間にわたる分析レポートを公開した。2025年3月から2026年3月の間に、利用規約違反でBANした832アカウントを対象に、13,873件の悪意ある行動と482種類の攻撃手法を記録し、業界標準のMITRE ATT&CKフレームワークにマッピングしている。
数字が語る変化のスピード
最も印象的なデータは、中〜高リスクに分類される攻撃者のうち、AIを活用していた割合が分析期間前半の33%から後半には56%へ急増した点だ。1.7倍の増加。半年でこれだけ動いた。
用途別では、マルウェア開発が圧倒的で全体の67%、約560アカウントが該当する。AIに「このコードのバグを直して」と頼むのと同じ感覚で、攻撃コードの生成や改良を依頼しているわけだ。ラテラルムーブメント(侵入後のネットワーク内移動)にAIを使う高度な攻撃者も6.5%存在した。
各アカウントにはAnthropicが独自開発した「AI Risk Enablement Score(ARiES)」で0〜100点のリスクスコアが付与されている。興味深いのは、従来の脅威分析で重視されてきた指標 — 技術スキルの高さ、使用するインターフェースの種類、攻撃手法の多さ — が、AIによる脅威の深刻度とはあまり相関しないという知見だ。つまり、従来の尺度で測っていると危険な攻撃者を見逃す可能性がある。
LLM ATT&CK Navigator — 可視化ツールの公開
レポートと同時にLLM ATT&CK Navigatorが公開された。MITRE ATT&CKのマトリクス上に、AIが実際にどの攻撃フェーズで使われているかをヒートマップで重ねて表示するツールだ。
これが素直にすごい。セキュリティの実務者にとって、「AIがどこで使われるか」が一目で分かるのは大きい。偵察フェーズや初期侵入、コード実行で濃い色が付いている一方、物理的アクセスを要するフェーズは当然ながら薄い。攻撃者がAIをどう活用しているかの全体像を把握する上で、現時点で最も包括的なリソースだと思う。
既存フレームワークの限界
レポートのもう一つの重要なメッセージは、MITRE ATT&CKフレームワーク自体がAI時代の脅威を十分に捕捉できていないという指摘だ。
最も危険な攻撃者が見せた行動パターン — 攻撃チェーンの各ステップをAIに逐次的に実行させる、状況に応じてAIにリアルタイムで次の行動を判断させる、人間の介入なしにAIが自律的に攻撃を遂行する — これらはいずれも、現在のATT&CKフレームワークには攻撃手法として定義されていない。
Anthropicは現在MITREと協議中で、AIネイティブな攻撃行動をフレームワークに追加する方向で動いている。これが実現すれば、セキュリティ業界全体の防御態勢のアップデートにつながるだろう。
GTG-1002 — 「AIが攻撃の80〜90%を自律実行」した事例
このレポートの背景には、Anthropicが2025年9月に検知し11月に公表した事案がある。中国の国家支援グループ「GTG-1002」が、Claude Codeを悪用して約30の組織に対するスパイ活動を行っていた。攻撃プロセスの80〜90%をAIが自律的に実行し、人間オペレーターが介入したのは4〜6箇所の重要な判断ポイントだけだったという。
対象にはテクノロジー企業、金融機関、化学メーカー、政府機関が含まれていた。攻撃者はAIに「これは認可されたペネトレーションテストだ」と信じ込ませることで安全フィルターを回避していた。
この事例が示すのは、AIによるサイバー攻撃が理論上の脅威ではなく、すでに国家レベルで運用されているという現実だ。
防御側にとっての意味
Anthropicはこのレポートに基づき、最も高性能なモデルに対するサイバー防御機能を強化している。また、Project Glasswingを通じて、15カ国以上の150以上の組織にClaude Mythosを展開し、電力・水道・医療・通信などの重要インフラの脆弱性発見に活用している。
ただし、率直に言えば一つの懸念がある。Anthropicがこれだけ詳細なデータを公開できるのは、自社モデルへのアクセスログを完全に把握しているからだ。オープンソースモデルの場合、同様の監視は不可能に近い。つまりこのレポートが描いているのは「見える範囲」の脅威であり、実態はさらに大きい可能性が高い。
AIを使った攻撃が加速する中で、防御側もAIを活用するしかない。皮肉な構図だが、Anthropicのレポートは少なくとも「何に備えるべきか」のマップを提供してくれている。セキュリティに関わる人は、LLM ATT&CK Navigatorだけでも一度見ておく価値がある。
関連記事
公開3日で全世界停止 — Claude Fable 5に米国政府の輸出規制が下った経緯と、開発者がいま知るべきこと
Claude Fable 5とMythos 5が米国輸出管理指令により全世界で停止。商務省の書簡、ジェイルブレイクの実態、Anthropicの反論、開発者への影響と代替策を整理する。
AIが「声に出さず考える」場所を持っていた — AnthropicのJ-Space研究が示すこと
AnthropicがClaude内部に発見した「J-Space」を解説。声に出さない思考を読む技術J-lensの仕組み、意識研究との関係、AI安全性への応用を整理する。
Claude Fable 5が戻ってきた。ただしデバッグ性能は70%落ちている — 「弱体化していない」の本当の意味
Claude Fable 5が19日間の停止を経て7月1日に復活。モデル自体は同じだが、安全分類器がデバッグタスクの大半をOpus 4.8に迂回させている。何が変わったかを整理する。